2025年8月25日,苹果发布紧急安全更新,以缓解其Image I/O框架中的关键零点击漏洞(CVE-2025-43300)。该漏洞允许处理特制的图像文件,可能触发越界内存写入和任意代码执行,无需用户交互。这类被归类为零点击的漏洞对加密货币持有者尤其危险,因为它可能被用来攻破钱包应用程序并访问存储在设备上的私钥。
苹果的公告指出,有证据显示该漏洞已在针对高价值目标的复杂现实攻击中被利用。受影响的平台包括iOS 18.6.2、iPadOS 18.6.2和17.7.10、macOS Sequoia 15.6.1、Sonoma 14.7.8和Ventura 13.7.8。公司通过增强Image I/O库中的边界检查,修正了允许越界写入的内存处理缺陷。
安全专家警告称,该漏洞的零点击特性消除了用户驱动的典型触发条件,如打开文档或点击链接。相反,恶意行为者可以将负载嵌入通过iMessage等消息平台分发的图像元数据中。设备在接收后自动渲染图像,处理恶意数据,导致设备被攻破并可能窃取敏感信息,包括加密货币钱包凭证、恢复短语和交易身份验证令牌。
网络安全公司Coinspect创始人Juliano Rizzo强调了数字资产用户面临的高风险。他建议高价值目标立即更换私钥并将资产迁移至硬件钱包。对于普通用户,苹果建议尽快安装安全更新并核实软件版本,警告延迟补丁可能使设备暴露于更多攻击风险。
区块链分析提供商CertiK指出,类似的零点击漏洞此前已被国家级威胁行为者利用于攻击活动。此次苹果漏洞强调了持续漏洞研究和主动披露的重要性。这是苹果2025年第六个修复的零日漏洞,创下了反映野外敌手能力增长的纪录速度。
处理大规模加密货币业务的组织被敦促进行彻底的设备审计,严格执行更新政策,并考虑采用能够检测零点击漏洞异常行为的移动威胁防御解决方案。加密生态系统的软件开发者也被建议隔离钱包进程,通过将关键签名操作与通用应用代码分离,减少攻击面。
随着补丁的发布,苹果重申了快速缓解漏洞和与安全研究社区合作的承诺。用户被引导访问苹果支持频道,获取更新指引及在不断变化的威胁环境中保障设备和数字资产安全的更多建议。
评论 (0)